Was ist die beliebteste Methode, um sich beim Laptop anzumelden? Wer jetzt Passwort sagt, liegt falsch. Denn laut Microsoft nutzt der Großteil der Nutzer, nämlich fast 85 Prozent, zum Anmelden Windows Hello.
Dazu gehört zum einen die häufig verwendete PIN, aber auch biometrische Anmeldemethoden wie Gesichts- oder Fingerabdruck-Scans.
Letztere haben jedoch offenbar ein ordentliches Problem: Sie können gehackt werden. Dass wir das jetzt wissen, hat aber zum Glück nichts mit einem großangelegten Angriff zu tun - sondern verdanken wir Microsoft selbst.
Windows Hello: Microsoft beauftragt Experten mit Hack
Was ist passiert? Der Security-Firma Blackwing Intelligence ist es gelungen, den Fingerabdruck-Sensor bei gleich drei Notebooks verschiedener Hersteller zu umgehen. So konnten sie sich Zugang zum Gerät verschaffen. Dabei haben die Experten im Auftrag der Microsoft-Gruppe MORSE (Microsoft Offensive Research and Security Engineering) gehandelt.
Bei den Notebooks handelt es sich um ein Modell von Microsoft selbst, sowie um zwei weitere Geräte von Lenovo und Dell. Die genauen Modelle lauten wie folgt:
- Microsoft Surface Pro X
- Lenovo ThinkPad T14
- Dell Inspiron 15
Dabei handelt es sich nach eigener Aussage um Modelle mit den drei beliebtesten Fingerabdruck-Sensoren für den Einsatz von Windows Hello. Diese stammen von den Zulieferern Goodix, Synaptics und Elan.
In einem Blogbeitrag und auf der BlueHat-Konferenz von Microsoft beschreiben die Experten, wie sie vorgegangen sind. Dabei kam ein USB-Stick zum Einsatz, mit dem ein sogenannter Man-in-the-Middle-Angriff ausgeführt wurde. Für den Angriff zwingend notwendig war allerdings physischer Zugang zum Notebook.
Link zum YouTube-Inhalt
Deep-Dive: Bei den drei Sensoren handelt es sich jeweils um Match-in-Chip-Sensoren. In diesen werden Mikroprozessor und Speicher direkt verbaut, wodurch der Fingerabdruck direkt auf dem Sensor abgeglichen werden kann. Das trägt zum Schutz der Privatsphäre des Nutzers bei und ist deshalb für Windows Hello zwingend notwendig.
Es erlaubt aber auch den Angriff durch die Experten. Denn statt den Sensor direkt zu täuschen, gaukeln sie dem Host mit einem manipulierten Sensor vor, dass sich ein Nutzer erfolgreich authentifiziert hätte.
Gegen ein solches Vorgehen hat Microsoft eigentlich eine Schutzmaßnahme eingebaut, die als SDCP (Secure Device Connection Protocol) bezeichnet wird. Das Protokoll soll sicherstellen, dass der Fingerabdruck-Sensor vertrauenswürdig ist und nicht manipuliert wurde. Außerdem soll es die Kommunikation zwischen Sensor und Host schützen.
Das Protokoll sei laut den Experten von Microsoft sicher entwickelt worden. Allerdings sei die Implementierung von SDCP auf den drei Geräten jeweils fehlerhaft gewesen, was den Angreifern schlussendlich den Zugang zum Notebook ermöglichte. Auf zwei der drei getesteten Laptops war das SDCP sogar gänzlich deaktiviert.
Was bedeutet das für euch? Blackwing Intelligence empfiehlt Herstellern nun, sicherzustellen, dass SDCP auf ihren Geräten aktiviert wurde, und diese von einer dritten Partei testen zu lassen. Bis dahin scheint ein Angriff mit der vorgestellten Methode aber weiterhin in vielen Fällen möglich.
Dass ihr das Ziel eines solchen Angriffes werdet, erscheint eher unwahrscheinlich. Einerseits, weil der Angriff mit einigem Aufwand versehen ist. Andererseits, weil es für den Angriff physischer Zugang zum Notebook braucht.
Wer sich dennoch mit aktiviertem Fingerabdruck-Sensor unsicher fühlt, kann diesen auch problemlos auf dem eigenen Notebook deaktivieren und eine alternative Anmeldemethode verwenden.
Mehr lesen: Sicherheitstipps für Spieler - Accounts und System schützen
Welche Anmeldemethode verwendet ihr für euren Windows-PC oder Windows-Laptop? Seht ihr in dieser Sicherheitslücke ein großes Problem? Und hattet ihr schon einmal ein Sicherheitsproblem mit dem Handy, Laptop oder einem anderen Gerät? Wie habt ihr darauf reagiert? Schreibt es uns in die Kommentare!
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.